Bir sabah ofise geldiniz ve IT ekibinden gelen acil mesajı gördünüz: “Sistemlere yetkisiz erişim tespit edildi.” Kalp atışlarınız hızlanırken aklınıza ilk gelen soru şu oluyor: Şirket içinde güvenlik ihlali bildirimi nasıl yazılır? Doğru bir iç bildirim, hem yasal yükümlülüklerinizi yerine getirmenizi sağlar hem de kriz anında panik yerine koordineli bir müdahale başlatır. Bu rehberde, kurumsal güvenlik ihlali bildiriminin tüm bileşenlerini, hazır şablonuyla birlikte bulacaksınız.
Süre: İlk taslak 30-45 dakika | Risk Seviyesi: Yüksek (gecikme cezai yaptırım getirebilir) | Maliyet: Sıfır (iç kaynaklarla hazırlanır)
Başlamadan Önce
Güvenlik ihlali bildirimi yazmaya oturmadan önce bazı bilgi ve belgeleri hazır bulundurmanız gerekiyor. Eksik bilgiyle yazılan bir bildirim, hem güvenilirliğinizi zedeler hem de sonraki adımlarda kafa karışıklığı yaratır.
Gerekenler
- İhlalin tespit edildiği tarih ve saat
- Etkilenen sistemlerin listesi (sunucu adları, IP adresleri)
- Sızan veya risk altındaki veri türleri (kişisel veri, finansal bilgi, ticari sır)
- İlk müdahaleyi yapan ekip veya kişinin adı
- Şirketin mevcut Olay Müdahale Planı (varsa)
Ön Koşullar
- IT ve hukuk departmanlarıyla ön görüşme yapılmış olmalı
- Üst yönetimden en az bir kişi bilgilendirilmiş olmalı
- KVKK kapsamındaysanız, 72 saatlik bildirim süresinin farkında olmalısınız
- Şirket içi iletişim kanalları (e-posta, intranet) erişilebilir durumda olmalı
Pro İpucu: İhlal anında panik yapmayın. Önce kanıtları koruyun, sonra bildirimi yazın. Log dosyalarını silmek veya sistemi hemen kapatmak, adli analizi imkânsız hale getirebilir.
Güvenlik İhlali Bildiriminin Temel Bileşenleri
Etkili bir iç güvenlik ihlali bildirimi, belirli bölümlerden oluşur. Her bölüm farklı bir paydaşın ihtiyacına cevap verir: Yönetim “ne kadar ciddi?” diye sorarken, IT ekibi “hangi sistemler etkilendi?” bilgisini arar.
| Bölüm | İçerik | Hedef Kitle |
|---|---|---|
| Başlık ve Tarih | İhlalin kısa tanımı, bildirim tarihi | Tüm alıcılar |
| Olay Özeti | Ne oldu, ne zaman tespit edildi | Üst yönetim |
| Etki Analizi | Hangi veriler/sistemler etkilendi | IT, Hukuk |
| Alınan Önlemler | İlk müdahale adımları | IT, Operasyon |
| Sonraki Adımlar | Planlanan aksiyonlar ve sorumlular | Tüm departmanlar |
| İletişim Bilgileri | Sorular için yetkili kişi | Tüm alıcılar |
Adım Adım: İç Güvenlik İhlali Bildirimi Yazma
Şimdi bildirimi sıfırdan nasıl oluşturacağınızı görelim. Her adımı sırasıyla takip et; atladığın bir bölüm, sonradan soru işaretleri yaratabilir.
- Başlığı net tut: “GÜVENLİK İHLALİ BİLDİRİMİ – [Tarih] – [Kısa Tanım]” formatını kullan. Örnek: “GÜVENLİK İHLALİ BİLDİRİMİ – 15 Ocak 2025 – Yetkisiz Veritabanı Erişimi”
- Olay özetini yaz: İlk paragrafta şu soruları cevapla: Ne oldu? Ne zaman tespit edildi? Kim tespit etti? Spekülasyondan kaçın, sadece doğrulanmış bilgileri paylaş.
- Etkilenen varlıkları listele: Sistemler, veritabanları, kullanıcı hesapları veya fiziksel cihazlar… Her birini madde işaretiyle sırala. “Muhtemelen etkilenmiş” olanları ayrı bir kategoride belirt.
- Veri türlerini sınıflandır: Kişisel veri mi, finansal bilgi mi, ticari sır mı? KVKK kapsamında “özel nitelikli kişisel veri” varsa bunu mutlaka vurgula.
- Alınan acil önlemleri açıkla: Etkilenen hesapların kilitlenmesi, ağ segmentasyonu, yedeklerin kontrol edilmesi gibi adımları kronolojik sırayla yaz.
- Sonraki adımları ve sorumlulukları belirle: Kim ne yapacak, hangi tarihe kadar? Belirsiz ifadelerden kaçın. “En kısa sürede” yerine “17 Ocak 2025, saat 18:00’e kadar” gibi somut tarihler ver.
- İletişim noktasını belirt: Sorular için kime ulaşılacağını, hangi kanaldan iletişim kurulacağını net olarak yaz.
Kilit Çıkarım: Bildirim ne kadar erken gönderilirse, müdahale o kadar koordineli olur. Ancak doğrulanmamış bilgi paylaşmak, paniğe ve yanlış aksiyonlara yol açar. Denge kritik.
Hazır Şablon: Şirket İçi Güvenlik İhlali Bildirimi
Aşağıdaki şablonu kendi kurumunuza uyarlayarak kullanabilirsiniz. Köşeli parantez içindeki alanları gerçek bilgilerle doldurun.
—
GÜVENLİK İHLALİ BİLDİRİMİ
Tarih: [Bildirim Tarihi]
Gizlilik Seviyesi: [Şirket İçi / Gizli]
Hazırlayan: [Ad Soyad, Unvan]
1. OLAY ÖZETİ
[Tarih ve saat] itibarıyla [sistem/ağ/uygulama adı] üzerinde yetkisiz erişim/veri sızıntısı/zararlı yazılım aktivitesi tespit edilmiştir. Olay, [tespit yöntemi: güvenlik yazılımı uyarısı / kullanıcı bildirimi / rutin denetim] aracılığıyla fark edilmiştir.
2. ETKİLENEN VARLIKLAR
- Sistemler: [Sunucu adları, IP adresleri]
- Veriler: [Veri türü ve tahmini kayıt sayısı]
- Kullanıcılar: [Etkilenen kullanıcı/çalışan sayısı]
3. RİSK DEĞERLENDİRMESİ
Ciddiyet Seviyesi: [Düşük / Orta / Yüksek / Kritik]
KVKK Bildirimi Gerekli mi: [Evet / Hayır / Değerlendiriliyor]
Müşteri/Üçüncü Taraf Etkisi: [Var / Yok / Araştırılıyor]
4. ALINAN ÖNLEMLER
- [Önlem 1 ve uygulama zamanı]
- [Önlem 2 ve uygulama zamanı]
- [Önlem 3 ve uygulama zamanı]
5. SONRAKİ ADIMLAR
- [Aksiyon] – Sorumlu: [İsim] – Tamamlanma: [Tarih]
- [Aksiyon] – Sorumlu: [İsim] – Tamamlanma: [Tarih]
6. İLETİŞİM
Sorularınız için: [Ad Soyad], [E-posta], [Telefon]
—
Yaygın Hatalar: Bunlardan Kaçının
Pratikte en sık görülen hatalar, bildirimin etkisini azaltır veya yasal sorunlara yol açar:
- Belirsiz dil kullanmak: “Bir miktar veri etkilenmiş olabilir” yerine somut rakamlar verin.
- Suçlu aramak: Bildirim, soruşturma raporu değil. “X çalışanının hatası” gibi ifadeler hem hukuki risk yaratır hem de ekip moralini bozar.
- Geciktirmek: “Daha fazla bilgi toplayalım” derken 72 saatlik KVKK süresini kaçırmak ciddi idari para cezalarına neden olabilir.
- Tek kanala güvenmek: Sadece e-posta göndermek yetmez. Kritik ihlallerde telefon veya anlık mesajlaşma ile teyit alın.
Mini Senaryo: Şu Durumda Ne Yaparsın?
Senaryo: Cuma akşamı saat 18:00’de fidye yazılımı saldırısı tespit edildi. IT müdürü tatilde, üst yönetim toplantıda. 72 saat Pazar akşamı doluyor.
Çözüm: Önce vekil IT yetkilisini ara. Üst yönetime kısa bir SMS veya WhatsApp mesajı at: “Acil güvenlik olayı, detaylı bildirim 1 saat içinde gelecek.” Taslak bildirimi hazırla, eksik bilgileri “[Araştırılıyor]” olarak işaretle. Pazartesi sabahı beklemek, yasal süreyi kaçırmanıza neden olur.
Sıkça Sorulan Sorular
İç bildirim ile KVKK bildirimi aynı şey mi?
Hayır. İç bildirim, şirket içi koordinasyon içindir. KVKK bildirimi ise Kişisel Verileri Koruma Kurulu’na yapılan resmi bildirimdir ve belirli bir format gerektirir. İç bildirim, KVKK bildirimine temel oluşturur ancak ikisi farklı belgelerdir.
Her güvenlik olayı için bildirim yazmak gerekir mi?
Hayır. Başarısız giriş denemeleri veya engellenen phishing e-postaları rutin güvenlik loglarında kalabilir. Bildirim, gerçek bir ihlal veya ciddi risk durumunda gereklidir. Şirketinizin olay sınıflandırma politikası bu ayrımı netleştirmelidir.
Bildirimi kim yazmalı?
Genellikle IT güvenlik ekibi veya Bilgi Güvenliği Sorumlusu (CISO) taslağı hazırlar. Ancak hukuk departmanının ve üst yönetimin onayı olmadan dağıtılmamalıdır.
Sonuç
Şirket içi güvenlik ihlali bildirimi, kriz anında düzeni sağlayan temel belgedir. Doğru yazıldığında hem yasal yükümlülükleri karşılar hem de ekipler arası koordinasyonu hızlandırır. Yukarıdaki şablonu şimdiden kurumunuza uyarlayın ve erişilebilir bir yerde saklayın. Çünkü ihlal anında “şablon neredeydi?” diye aramak, kaybedilecek en değerli şeyi—zamanı—çalar.
Kilit Çıkarım: Hazırlıklı olmak, ihlali önlemez ama etkisini minimize eder. Şablonunuz hazır, prosedürünüz net olsun.
